Genetik test şirketi 23 andMe, çalınan verileri doğruladı!

Genetik test şirketi 23andMe Cuma günü yaptığı açıklamada, bilgisayar korsanlarının şirketin son veri ihlalinde yaklaşık 14.000 müşteri hesabına eriştiğini duyurdu.

Cuma günü ABD Menkul Kıymetler ve Borsa Komisyonu’na sunulan yeni bir dosyada şirket, olaya ilişkin soruşturmasına dayanarak bilgisayar korsanlarının müşteri tabanının %0,1’ine eriştiğini belirlediğini söyledi. Şirketin en son yıllık kazanç raporuna göre 23andMe’nin “dünya çapında 14 milyondan fazla müşterisi” var, bu da %0,1’inin 14.000 civarında olduğu anlamına geliyor.

Ancak şirket ayrıca, bilgisayar korsanlarının bu hesaplara erişerek “23andMe’nin DNA Akrabaları özelliğini etkinleştirirken paylaşmayı seçtikleri, diğer kullanıcıların soylarıyla ilgili profil bilgilerini içeren önemli sayıda dosyaya” da erişebildiğini söyledi.

Şirket, bu “önemli sayıdaki” dosyanın ne olduğunu veya bu “diğer kullanıcıların” ne kadarının etkilendiğini belirtmedi.

Ekim ayı başlarında 23andMe, bilgisayar korsanlarının “kimlik bilgisi doldurma” olarak bilinen yaygın bir teknik kullanarak bazı kullanıcıların verilerini çaldığı bir olayı açığa çıkardı; bu teknikte siber suçlular, bilinen bir şifreyi kullanarak bir kurbanın hesabına giriyor ve muhtemelen başka bir hesaptaki veri ihlali nedeniyle sızdırılmış oluyor.

Ancak hasar, hesaplarına erişilen müşterilerle sınırlı kalmadı. 23andMe, kullanıcıların DNA Akrabaları adı verilen bir özelliği seçmelerine olanak tanır. Bir kullanıcı bu özelliği tercih ederse, 23andMe o kullanıcının bazı bilgilerini başkalarıyla paylaşır. Bu, bilgisayar korsanlarının bir kurbanın hesabına erişerek o ilk kurbanla bağlantılı kişilerin kişisel verilerini de görebildiği anlamına geliyor.

23andMe, dosyada ilk 14.000 kullanıcı için çalınan verilerin “genel olarak soy bilgilerini ve bu hesapların bir alt kümesi için kullanıcının genetiğine dayanan sağlıkla ilgili bilgileri içerdiğini” söyledi. Diğer kullanıcı alt kümesi için 23andMe yalnızca bilgisayar korsanlarının “profil bilgilerini” çaldığını ve ardından belirtilmemiş “belirli bilgileri” çevrimiçi olarak yayınladığını söyledi.

Veri ihlaline yanıt olarak 10 Ekim’de 23andMe, kullanıcıları şifrelerini sıfırlamaya ve değiştirmeye zorladı ve onları çok faktörlü kimlik doğrulamayı açmaya teşvik etti. Ve 6 Kasım’da şirket, yeni başvuruya göre tüm kullanıcıların iki adımlı doğrulamayı kullanmasını zorunlu kıldı.

23andMe ihlalinin ardından diğer DNA test şirketleri Ancestry ve MyHeritage, iki faktörlü kimlik doğrulamayı zorunlu kılmaya başladı.

Kaynak: TechCrunch

Fotoğraf: WIRED

Son gelişmelerden ilk siz haberdar olmak için bizi takip edin.